神马久草_国产美女精品福利一区二区_日韩亚洲一区二区三区_丁香激情综合_韩国91_国产97色在线

零信任作為一種安全管理哲學(xué)，近年來(lái)漸漸有了一統(tǒng)江山之勢(shì)，作為在此領(lǐng)域頗有研究的專(zhuān)業(yè)人士，薔薇靈動(dòng)創(chuàng)始人嚴(yán)雷用新的視角，從零信任不是什么的角度給大家闡述這一話(huà)題。

在薔薇靈動(dòng)嚴(yán)雷看來(lái)，首先，零信任是一種方法論，它定義了一種安全管理的新的視角。它不是一個(gè)產(chǎn)品或者說(shuō)一個(gè)技術(shù)。也就是說(shuō)您買(mǎi)不到一個(gè)叫零信任的產(chǎn)品，您只能買(mǎi)到幫您實(shí)現(xiàn)零信任的某種要求的產(chǎn)品。

其次，零信任是一個(gè)過(guò)程，或者說(shuō)是一個(gè)方向。它不是一個(gè)靜態(tài)的標(biāo)準(zhǔn)，或者說(shuō)狀態(tài)。零信任的建設(shè)應(yīng)該是一個(gè)持續(xù)的，逐漸深入，逐漸優(yōu)化的過(guò)程，也是一個(gè)在安全與業(yè)務(wù)之間的一個(gè)平衡的過(guò)程。

最后，零信任是個(gè)廣泛適用的方法論，也就是說(shuō)它可以應(yīng)用于整個(gè)計(jì)算架構(gòu)的各個(gè)方面，在每一個(gè)細(xì)分的環(huán)境，每一個(gè)具體維度上都可以利用零信任的方式來(lái)做管理，而不是像谷歌那樣將之應(yīng)用于辦公網(wǎng)，面向員工的身份進(jìn)行管理。

從圖中可以看到，零信任可以作用于人，設(shè)備，網(wǎng)絡(luò)，工作負(fù)載等所有有數(shù)據(jù)流動(dòng)的主體上。事實(shí)上，相較于辦公網(wǎng)而言，數(shù)據(jù)中心是更容易實(shí)現(xiàn)零信任的場(chǎng)景，也是有著更多核心業(yè)務(wù)和關(guān)鍵數(shù)據(jù)的地方，因此可以成為我們開(kāi)展零信任建設(shè)的起點(diǎn)。

微隔離在零信任網(wǎng)絡(luò)中的地位和價(jià)值

對(duì)于數(shù)據(jù)中心網(wǎng)絡(luò)而言，具體的產(chǎn)品技術(shù)是什么呢？一個(gè)是SDP，一個(gè)就是微隔離。事實(shí)上微隔離技術(shù)是最早的一種對(duì)零信任這個(gè)概念的具體技術(shù)實(shí)現(xiàn)。Forrester在2019年Q4的報(bào)告中對(duì)此也有分析。

通過(guò)對(duì)Forrester報(bào)告的分析，大家不難理解微隔離之于零信任的價(jià)值。因?yàn)槲⒏綦x要實(shí)現(xiàn)的核心能力就是兩條，數(shù)據(jù)中心內(nèi)工作負(fù)載之間的流量可視以及訪(fǎng)問(wèn)控制。大家可以回頭再看看前面那張圖，零信任能力本質(zhì)上就是倆能力，一個(gè)是看得盡量多，一個(gè)是管得盡量細(xì)。而恰恰這就是微隔離主要在做的事情。領(lǐng)先的微隔離產(chǎn)品，能夠做在十萬(wàn)點(diǎn)級(jí)別的數(shù)據(jù)中心內(nèi)做到容器間流量的識(shí)別與訪(fǎng)問(wèn)控制，甚至能做到基于進(jìn)程的訪(fǎng)問(wèn)控制，這個(gè)細(xì)粒度正是零信任所要求的。

微隔離技術(shù)的當(dāng)下和遠(yuǎn)方

作為微隔離技術(shù)在國(guó)內(nèi)最為積極的倡導(dǎo)者，也是目前唯一一家只做微隔離這一件事的廠(chǎng)商，薔薇靈動(dòng)做了很多的微隔離項(xiàng)目，服務(wù)的客戶(hù)包括三桶油，五大行，三大運(yùn)營(yíng)商，平安、京東等等云計(jì)算領(lǐng)域最領(lǐng)先的行業(yè)領(lǐng)導(dǎo)者。關(guān)于微隔離的具體應(yīng)用，薔薇靈動(dòng)可以用“多快好省”來(lái)概括：

多：跟得上用戶(hù)計(jì)算密度膨脹的腳步。薔薇靈動(dòng)嚴(yán)雷曾表示，微隔離就是要跟得上用戶(hù)計(jì)算密度膨脹的腳步。微隔離要回答的是點(diǎn)和點(diǎn)之間的關(guān)系問(wèn)題。從算法復(fù)雜度的角度講，他與所管理的點(diǎn)數(shù)之間是個(gè)n的平方的關(guān)系。然后再隨著時(shí)間的累積，這個(gè)數(shù)量級(jí)就接近了n的3次方了。這意味著什么呢，如果管理規(guī)模擴(kuò)大一倍，那么對(duì)算力的要求會(huì)擴(kuò)大8倍。所以對(duì)于大規(guī)模網(wǎng)絡(luò)的支撐是微隔離最重要的一個(gè)技術(shù)難點(diǎn)。

這里一定要注意一個(gè)區(qū)別，不是說(shuō)你能夠部署安裝多少點(diǎn)，而是說(shuō)你能不能把這些點(diǎn)之間的關(guān)系完整、準(zhǔn)確、實(shí)時(shí)地分析出來(lái)。目前，薔薇靈動(dòng)的微隔離技術(shù)可以實(shí)現(xiàn)用三臺(tái)云主機(jī)作為算力，來(lái)支撐萬(wàn)點(diǎn)級(jí)別的場(chǎng)景，根據(jù)Illumio的公開(kāi)資料，他們要支持一萬(wàn)五千點(diǎn)的時(shí)候，就需要6臺(tái)專(zhuān)用的高主頻物理服務(wù)器。可以想象百尺竿頭更進(jìn)一步會(huì)有多難。而這個(gè)能力，相較于我們用戶(hù)計(jì)算體量的膨脹速度而言還是不夠。

過(guò)去評(píng)估防火墻的最主要指標(biāo)是吞吐量，包括延遲，每秒新建，并發(fā)等等指標(biāo)。而微隔離技術(shù)的核心指標(biāo)就在于它能夠管理的工作負(fù)載的規(guī)模。

快：跟得上微服務(wù)架構(gòu)飄渺的跑位。薔薇靈動(dòng)認(rèn)為，容器在計(jì)算密度膨脹這個(gè)過(guò)程中扮演了非常重要的角色。一個(gè)方面，K8S的成熟和便捷，以及對(duì)于DEVOPS理念的良好支撐，使得越來(lái)越的客戶(hù)在快速的擁抱容器。但是，從另一個(gè)方面，這也對(duì)各種運(yùn)維技術(shù)提出了很?chē)?yán)峻的挑戰(zhàn)。就微隔離技術(shù)而言，一個(gè)非常大的挑戰(zhàn)是策略計(jì)算速度問(wèn)題。

微隔離是一種典型的軟件定義安全結(jié)構(gòu)。在K8S的環(huán)境下，由于容器的創(chuàng)建和銷(xiāo)毀非常方便，使得容器的生命周期往往非常短，甚至只有幾分鐘。這就對(duì)策略計(jì)算的速度提出了很?chē)?yán)格的要求，再加上往往容器環(huán)境的體量都非常巨大，就讓這個(gè)策略計(jì)算的難度更高了。

好：企業(yè)級(jí)產(chǎn)品必須具備企業(yè)級(jí)特性

企業(yè)級(jí)產(chǎn)品的功能特性，符合冰山模型。我們能夠看得見(jiàn)摸得著的功能大概只占整個(gè)產(chǎn)品功能的10%，90%的功能都是水面之下的非功能特性，或者我們稱(chēng)之為企業(yè)級(jí)特性。

薔薇靈動(dòng)嚴(yán)雷認(rèn)為，很多時(shí)候你并不知道你缺失的企業(yè)級(jí)特性是什么，直到你在客戶(hù)現(xiàn)場(chǎng)遇到他！這要求企業(yè)一個(gè)方面要始終投入最大的精力在這個(gè)方面，盡全力去提升企業(yè)級(jí)特性。另一個(gè)方面，大家在評(píng)估微隔離產(chǎn)品的時(shí)候，一定要關(guān)注他們是否有大規(guī)模場(chǎng)景的交付經(jīng)驗(yàn)和大規(guī)模的現(xiàn)網(wǎng)穩(wěn)定運(yùn)轉(zhuǎn)的案例，要評(píng)估他們是否真的能夠支撐你的云計(jì)算發(fā)展戰(zhàn)略。

省：在產(chǎn)品發(fā)展的過(guò)程中保持克制

薔薇靈動(dòng)曾提出 “產(chǎn)品研發(fā)的不可能三角“這個(gè)方法論：就是在產(chǎn)品功能的豐富性，產(chǎn)品功能的專(zhuān)業(yè)性，以及計(jì)算開(kāi)銷(xiāo)這三者之間，你最多只能選擇兩者。

比如，你可以選擇產(chǎn)品功能很豐富，計(jì)算開(kāi)銷(xiāo)也比較低，那么你的每一項(xiàng)功能的實(shí)現(xiàn)水平勢(shì)必比較初級(jí)。比如面向中小客戶(hù)市場(chǎng)的產(chǎn)品，往往選擇這種產(chǎn)品戰(zhàn)略。

或者，你也可以選擇產(chǎn)品功能很豐富，而且每一項(xiàng)功能的實(shí)現(xiàn)水平也很高，那么你勢(shì)必需要很多的計(jì)算資源。比如我們過(guò)去的邊界型安全產(chǎn)品，一個(gè)數(shù)據(jù)中心，只需要兩臺(tái)，每臺(tái)設(shè)備都是4U，兩臺(tái)就能裝滿(mǎn)一個(gè)機(jī)柜。對(duì)于微隔離而言，一個(gè)最主要的限制就是計(jì)算開(kāi)銷(xiāo)問(wèn)題。由于微隔離需要對(duì)整個(gè)數(shù)據(jù)中心內(nèi)部做點(diǎn)到點(diǎn)的訪(fǎng)問(wèn)控制，所以他的控制點(diǎn)的分布應(yīng)該是盡可能的廣。

根據(jù)不可能三角，我們就必須在功能豐富性與功能的完善性之間做個(gè)二選一的選擇，再結(jié)合我們前面對(duì)微隔離所面臨的技術(shù)挑戰(zhàn)的描述，那么其實(shí)我們能選擇的路就只有一條，那就是選擇少而精，而不是多而粗。

作為一家高科技創(chuàng)業(yè)企業(yè)，薔薇靈動(dòng)無(wú)論是從客戶(hù)的要求來(lái)說(shuō)，還是從對(duì)新技術(shù)的偏好來(lái)說(shuō)，都有極大沖動(dòng)去做更多的安全能力，但這個(gè)時(shí)候必須始終牢記產(chǎn)品邊界，即要在超大規(guī)模生產(chǎn)環(huán)境下交付的企業(yè)級(jí)產(chǎn)品，專(zhuān)注于產(chǎn)品本身的性能優(yōu)化。